Publicidade
Essa semana peguei um voo internacional. Tinha quatro horas de espera no aeroporto e decidi aproveitar o tempo: fui relaxar e pedi um gin tônica. Depois de tomar metade do copo, ouvi uma família na mesa ao lado lendo em voz alta mais uma notícia sobre as vítimas de intoxicação por bebidas adulteradas. Quase cuspi a bebida. E deixei o drink pela metade.
Me dei conta de que tinha simplesmente apagado da memória a sequência de manchetes sobre o assunto nas últimas semanas. Alguns amigos decidiram, de forma consciente ou não, mudar temporariamente o cardápio social para cerveja ou vinho como forma de evitar o risco. Eu, por outro lado, naquele momento, aceitei. E pior: aceitei sem nem avaliar o impacto ou a probabilidade de uma eventual intoxicação.
A gestão de riscos saiu do escritório e foi para o bar.
Continua depois da publicidade
A crise das bebidas adulteradas colocou a sociedade diante de uma realidade: fazer gestão de riscos passou a ser parte da vida social do brasileiro (e não só do paulistano). Pessoas comuns, em situações banais de lazer, começaram a tomar decisões com base em exposição a risco. Mesmo sem perceber, ou certamente sem reconhecer como tal, as pessoas passaram a adotar, de forma intuitiva, respostas clássicas que fazem parte dos manuais de gestão de riscos no mundo corporativo.
Eliminar, mitigar, compartilhar ou aceitar. Essas são, em essência, as quatro respostas possíveis quando um risco é identificado dentro da empresa.
Eliminar é a escolha mais radical: interromper totalmente o processo que gera o risco. Foi o que fizeram aqueles que pararam de consumir destilados por completo. Se não há consumo, não há risco de intoxicação. Mitigar é adotar medidas para reduzir a chance ou o impacto do risco. Tomar bebidas de procedência conhecida ou em casa, por exemplo, não elimina o risco, mas oferece uma percepção de maior controle. Compartilhar é menos comum no cenário das bebidas, mas seria o caso de alguém apostar na proteção de um seguro de vida para mitigar o impacto da intoxicação. E há quem apenas aceite o risco, torcendo para não ser o próximo caso grave. Todas essas decisões são legítimas, desde que conscientes.
Continua depois da publicidade
O ponto aqui não é julgar o comportamento individual, mas destacar como a sociedade, diante de uma ameaça concreta, passou a operar com a mesma lógica que o GRC aplica no ambiente corporativo. Esse movimento escancara o papel fundamental da gestão de riscos como ferramenta de apoio à tomada de decisão. Tanto no dia a dia social, quanto no cerne das organizações.
Mitigar não é fraqueza. É estratégia.
Identificar o risco é apenas o começo. O verdadeiro valor do GRC, assim como das decisões conscientes na mesa de um bar em meio a um surto de intoxicações por metanol após ingestão de bebidas alcoólicas, está em como se responde a esse risco.
Um GRC estratégico sabe que o papel da gestão de riscos não é acabar com todos os riscos da organização. Risco zero não é, e nem deve ser, uma meta isolada do GRC. Muito menos sua missão solitária. Até porque, em muitos processos, risco zero significaria fechar as portas do negócio de uma vez por todas. Eliminar o risco no ambiente corporativo nem sempre é a melhor resposta, e certamente não é a única resposta válida. Essa diferença é mais do que semântica. Ela estrutura toda a abordagem de gestão de risco.
Continua depois da publicidade
Em termos técnicos, chamamos de risco inerente aquele que existe antes de qualquer controle ou mitigação ser aplicada. É o risco bruto, na veia. Já o risco residual é o que permanece após a aplicação de medidas de mitigação. É o “saldo que sobra” depois que a empresa faz o que está ao seu alcance para reduzir a probabilidade ou o impacto. A função do GRC é justamente levar esse risco residual a um nível que seja compatível com o apetite de risco definido por quem toma as decisões (tal qual a decisão de consumir destilados).
Mitigação não é uma medida de contenção. É uma escolha estratégica. Significa aplicar auditorias em fornecedores críticos, revisar contratos, exigir evidências de conformidade, testar e monitorar controles, ampliar a rastreabilidade dos processos e manter os times treinados, conectados e preparados para reagir a sinais de alerta. Uma empresa madura não mede seu sucesso pela ausência de riscos, mas pela capacidade de antecipá-los, tratá-los e manter seu nível de risco residual dentro do que é tolerável para sua realidade, sua marca e seu mercado.
Quando a resposta falha, o risco vira dano.
No ambiente corporativo, a gestão ineficiente ou ineficaz dos riscos não só gera desvios pontuais em relação ao que é tolerável, como compromete ativos estratégicos e operacionais da empresa. Assim como a decisão de um indivíduo pode colocá-lo em risco de intoxicação, a escolha corporativa de manter controles contábeis frágeis ou confiar cegamente em terceirizados não avaliados pelo compliance pode gerar contaminações muito mais difíceis de tratar: aquelas que afetam a credibilidade da marca.
Continua depois da publicidade
Um produto fora das especificações técnicas, intencionalmente colocado no mercado, pode custar muito mais do que um recall. Pode comprometer contratos, romper parcerias estratégicas, paralisar a operação e minar a confiança de investidores. E não é alarme. É matemática. O risco que não é tratado, inevitavelmente, escala e traz com ele danos severos.
Operações com baixa integração e sem canais estruturados de comunicação entre as áreas corporativas, como GRC, qualidade, jurídico, financeiro, cybersegurança e sustentabilidade, perdem a chance de agir preventivamente. Assim como a globalização interligou os fluxos de negócio, os riscos no ambiente corporativo também operam em rede. O financeiro afeta o operacional, que contamina a segurança, compromete o jurídico, e por aí vai. O que poderia ser tratado como uma não conformidade localizada passa a ser interpretado, interna e externamente, como falha sistêmica. Nesse cenário, a ausência de uma resposta rápida deixa de ser uma falha de eficiência e passa a ser um sinal de despreparo. E o despreparo, hoje, viraliza.
Não basta ter controles no papel ou fluxos bem desenhados em apresentações. É preciso que a inteligência de risco funcione como engrenagem viva da organização, capaz de acionar alertas, circular informações e provocar respostas tempestivas. Quando um sinal de alerta aparece, seja no processo produtivo, na cadeia de suprimento, no comportamento de um fornecedor ou nas redes sociais, ele precisa percorrer a estrutura da empresa em tempo real, conectando áreas e provocando ação coordenada. Porque o que começa como uma anomalia discreta pode virar um problema, depois um incidente e, em poucas horas, escalar para uma crise real. E, nesse cenário, o que determina o impacto não é a existência do risco em si, mas a prontidão da resposta.
Continua depois da publicidade
Deixar o copo pela metade no aeroporto foi fácil. Bastou um susto. Mas, no ambiente corporativo, decisões como essa não podem depender do acaso, da sorte ou da memória dos colaboradores sobre a manchete da semana. O papel de um GRC fora da caixa é justamente garantir que riscos conhecidos não sejam normalizados, e que respostas adequadas sejam estruturadas antes que o dano aconteça. No bar ou no ambiente corporativo, a maturidade se mede pela capacidade de agir antes da intoxicação.
